Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향로그인을 도용하기 위해 피싱 공격에 사용되는 해킹된 SendGrid 계정
작성일 2021-03-05 조회 94

 

 

Outlook Web Access 및 Office 365 서비스 사용자를 대상으로하는 피싱 캠페인이 SendGrid와 같이 신뢰할 수있는 도메인을 이용해 수천 개의 크리덴셜을 수집했다.

 

이 활동의 ​​배후에있는 "Compact"라는 이름의 위협 행위자는 적어도 2020년 초부터 활동해 왔으며 여러 캠페인에서 400,000개 이상의 크리덴셜을 수집했을 가능성이 높다.

 

유도책으로써 Zoom 초대와 광범위한 이메일 주소 목록을 사용해 피싱 캠페인 운영자는 SendGrid 클라우드 기반 이메일 전송 플랫폼에서 해킹된 계정으로 메시지를 보냈다.

 

 

 

[그림1. 공격자가 보낸 Zoom 초대]

 

 

SendGrid는 신뢰할 수 있는 SMTP 공급자이기 때문에 메시지가 열람될 가능성이 더 높았으며 전자 메일 보호 기술에 의해 차단되지 않았다.

 

PhishFeed 실시간 피싱 인텔리전스 서비스를 만든 WMC Global의 연구원들은 보안 위협 행위자의 실수를 활용하여 크리덴셜이 피싱 사이트에서 공격자의 손으로 어떻게 이동했는지 분석할 수 있었다.

 

이전 공격에서는 손상된 SendGrid 계정을 사용하여 피싱 이메일을 전달한 다음 메시지를 보내고, 받고, 추적 할 수있는 API가있는 개발자 중심 이메일 서비스인 MailGun으로 이동했다.

 

연구원들에 따르면, Compact 캠페인의 피싱 웹 사이트는 새로운 사이트가 활성화 되자마자 모니터링하고 탐지할 수 있도록 코드에 뚜렷한 흔적이 있으며 2020년 12월 Outlook Web App을 가장한 랜딩 사이트와 2021년 1월에 Office 365 로그인 용으로 가장한 다른 랜딩 사이트를 발견했다.

 

 

 

[그림2. 랜딩 사이트 샘플]

 

 

웹 사이트 소스 코드를 살펴보면 공격자는 유출 위치와 크리덴셜 로그를 텍스트 파일로 가져올 수 있었으며 Compact 캠페인의 배후에있는 해커들은 수많은 합법적인 웹 사이트에서 유출 코드를 호스팅했다.

 

 

 

[그림3. 크리덴셜 로그 샘플]

 

 

로그를 분석하면서 연구원들은 큰규모의 회사 직원들이 Compact 피싱 캠페인에 당했고 1월 중순에 크리덴셜 오염이 진행되고 있다는 사실을 알아 위협 행위자가 수집한 합법적 인 크리덴셜 세트가 희석되었음을 발견했다.

 

Compact 캠페인의 운영자는 기술적으로 지식이있는 것처럼 보이지만 잘못 구성된 유출 스크립트를 남기고 연구원이 유출 코드의 여러 사본을 다운로드 할 수 있는 웹 셸을 노출함으로써 실수를 저질렀다.

 

 

 

[그림4. 노출된 웹 쉘]

 

 

이러한 opsec 오류를 통해 연구원은 행위자가 POST 데이터를 처리하는 방법을 이해했고 코드가 예상보다 더 복잡하다는 것을 알 수 있었다.

 

조사에서 운영자와 연결된 두 개의 이메일 주소도 밝혀졌다.

 

연구원들은 이러한 계정이 피싱 로그를 수신하는 용도라고 추측한다.

 

9월부터 위협 행위자는 계속해서 사용되고 가장 널리 사용되는 Office 365 테마를 사용하기 시작했다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/hacked-sendgrid-accounts-used-in-phishing-attacks-to-steal-logins/

첨부파일 첨부파일이 없습니다.
태그 SendGrid